BKR krijgt boete van 830.000 euro wegens geld vragen voor inzage dossier

| AE 12055 | Ondernemingsvrijheid | 15 reacties

Het Nederlandse Bureau Krediet Registratie krijgt een boete van 830.000 euro omdat het geld vroeg aan mensen om versneld hun eigen dossiers in te zien. Dat meldde Tweakers maandag. Voor gratis inzage moest je vier weken wachten en een kopie identiteitsbewijs opsturen. Wie betaalde, kreeg direct toegang en wel elektronisch. Dat laatste maakt natuurlijk het verhaal rond gratis vanaf het begin een gotspe: hoezo kun je niet gewoon gratis je elektronische dossiers ontsluiten? Helemaal omdat het mensen betreft die naar hun aard financiële problemen hebben?

De boete was dus voor het niet gratis elektronisch antwoorden op elektronisch gedane verzoeken. Het moest per post, of je moest een betaald abonnement nemen. BKR maakt daarvan in haar kletspersbericht dat “uit de AVG niet duidelijk blijkt of het überhaupt verplicht is om digitaal inzage te faciliteren”. Ik citeer de AVG, artikel 12: “Wanneer de betrokkene zijn verzoek elektronisch indient, wordt de informatie indien mogelijk elektronisch verstrekt, tenzij de betrokkene anderszins verzoekt.” Oh en overweging 59: “De verwerkingsverantwoordelijke dient ook middelen te verstrekken om verzoeken elektronisch in te dienen, vooral wanneer persoonsgegevens langs elektronische weg worden verwerkt. ” Ik kan daar weinig onduidelijkheid in vinden.

Oh ja, het BKR zegt dan ook “De wet stelt duidelijk dat inzage verschaffen binnen een maand verplicht is”. Dat staat er niet, de AVG zegt “onverwijld en in ieder geval binnen een maand”. Dat is dus min(onverwijld, een maand) en niet onverwijld OR maand.

Daarnaast bleek dat het BKR dus actief communiceert dat je eens per jaar, en daarna werd dat twee keer, je gegevens mocht inzien. ‘Op onze website stond dat een consument een keer per jaar gratis inzage kon aanvragen, omdat wij zijn uitgegaan van de frequentie waarmee consumenten normaliter inzage doen. In de praktijk zijn we daar natuurlijk ruimhartig mee omgegaan. Dus is er naar ons idee geen sprake geweest van een overtreding van de AVG.’ Fijn dat je ruimhartig tegen je eigen regels in gaat, maar het is natuurlijk wél een overtreding van de AVG als je begint met dat het maar twee keer mag. Dat is niet wat in de wet staat, daar staat “met regelmatige tussenpozen”. Niet hetzelfde.

Dit is het digitale equivalent van dat bordje “de directie stelt zich niet aansprakelijk” of de website-disclaimer. Het slaat juridisch helemaal nergens op, maar toch schrik je een hoop mensen af. En dan zeggen “ja maar je kunt toch een jurist vragen” of “als mensen piepen dan zijn we ruimhartig”. Waar het om gaat is dat mensen niet hóeven te piepen. Zeker niet de BKR-geregistreerden: die zitten meestal niet in de financiële problemen omdat ze zeer assertief zijn en een jurist kunnen raadplegen bij juridische twijfels. Daarom vind ik het zo ergerlijk.

En och arme: ‘Het liefst zou Stichting BKR consumenten laten inloggen met DigiD en hun unieke BSN om gegevens te registreren en op te vragen, maar dat mag wettelijk niet omdat BKR geen overheidsinstantie is’.

Als laatste: ja, sinds 2019 is men gestopt met deze praktijk. En dat is leuk en aardig maar dus een jaar te laat. Dáár gaat het uiteindelijk om.

Arnoud

Mag je inzage in je emailarchief weigeren onder de AVG?

| AE 12029 | Privacy | 21 reacties

Wat moet je doen als iemand inzage eist in emails die jij in je archief hebt? Met die vraag zag de rechter zich recent geconfronteerd in een zaak tussen zo te lezen een student (of medewerker) en een universiteit. De eerste wilde inzage in emails over hem, de organisatie weigerde dat voor een groot deel.

Bij elke AVG cursus is het weer een verrassing: het inzagerecht onder de AVG kun je ook uitoefenen op emails en andere informele documenten waarin je persoonsgegevens staan. Dat recht (op een kopie en uitleg van je persoonsgegevens) is niet beperkt tot formele dossiers of gestructureerde bestanden. En ja, dan heb je een probleem als je je emails niet netjes archiveert. Gelukkig voor organisaties staat daar tegenover dat als iemand zegt “ik wil alles dat u heeft” je niet elke backuptape op een eventuele nog in de prullenbak zittende mail hoeft na te lopen.

Een lastiger probleem is dat emails natuurlijk meer bevatten dan enkel je persoonsgegevens. Of dat de persoonsgegevens niet zuiver feitelijk zijn maar bijvoorbeeld een beoordeling – denk aan de mail van je manager aan HR over een recent incident waar je bij betrokken was, of de Slack-chatdiscussie over je sollicitatie vanochtend. Dat zijn dan wel persoonsgegevens van jou – ze zeggen iets over jou – maar dat is ook een stukje privé van die manager of collega’s.

De AVG kent daar een oplossing voor: op grond van artikel 23 (lid 1 sub i) hoef je geen persoonsgegevens te verstrekken voor zover dat noodzakelijk en evenredig is ter waarborging van de rechten en vrijheden van anderen. Dat is geen vrijbrief om te weigeren: het komt neer op dat je moet witmaken (niet zoals het COA) of weglaten wat je echt niet kunt onthullen. En ja, dat is een afweging per geval, geen generieke “emails bevatten interne opvattingen en worden dus niet verstrekt”.

In deze zaak was een berg mails weggelaten:

De rechtbank verwijst onder meer naar de e-mails met de nummers 4, 9, 12, 15, 17, 24, 39, 42, 47, 48, 52, 54, 58, 63, 66-68, 73, en 91. De rechtbank noemt als voorbeeld de passages die beginnen met: ‘Een email van een [naam] , die (…)’ in document 9, ‘Officieel zou [eiser] moeten aanvragen maar, (…)’ en ‘Waarschijnlijk omdat [eiser] (…)’ in document 12, ‘De heer [eiser] is sinds begin dit jaar al (…)’ in document 15 en ‘De goedkeuring door [verweerder] heeft lang op zich laten wachten door moeizame communicatie (…)’ in document 24. Deze passages, en ook andere in de hiervoor genoemde e-mail nummers, bevatten naar het oordeel van de rechtbank feitelijke of waarderende gegevens over eigenschappen, opvattingen of gedragingen van eiser. Door deze passages in de e-mails niet in het verwerkingsoverzicht te vermelden dan wel van deze passages geen afschriften aan eiser te verstrekken, kan eiser niet controleren of verweerder zijn persoonsgegevens op juiste wijze heeft verwerkt.

Ook dergelijke mails moeten dus worden verstrekt, zij het dat je irrelevante passages (die dus niet over de persoon gaan) mag weglaten. Maar je moet dan wel een motivatie per passage hebben waaróm het irrelevant is. Enkel de algemene formule dat het “gaat om interne notities die persoonlijke gedachten van medewerkers van [verweerder] bevatten en uitsluitend voor intern overleg en beraad zijn bedoeld”, is daarbij niet genoeg. De universiteit mag dus terug naar de tekentafel en opnieuw per mailtje bedenken waarom ze niet mogen worden ingezien.

Arnoud

Politiekorpsen VS mogen Ring-video’s eeuwig bewaren en onbeperkt delen, en bij ons?

| AE 11469 | Privacy, Regulering | 7 reacties

Politiekorpsen in de VS die van buurtbewoners video’s ontvangen van slimme deurbel Ring mogen dat beeldmateriaal eeuwig bewaren en onbeperkt delen met bijvoorbeeld andere korpsen of overheidsinstanties. Dat las ik bij Tweakers. Het vervolgt eerdere berichten dat Ring in de afgelopen jaren samenwerkingsovereenkomsten heeft gesloten met vierhonderd korpsen in de VS, die zo toegang krijgen tot beelden van de dienstverlener. Ring verzamelt en bewaart beeldopnames van de deurbel-met-camera op haar servers, en kan er dus over beschikken wanneer politie of Justitie daarom vraagt. Naar Amerikaans recht lijkt dat dus in orde, maar vele lezers vroegen zich af, hoe zit dat dan in Nederland gezien de AVG? En jaja, komt ie weer met z’n diensteneconomie.

Eerst maar dat bewaren door de politie. Als die beelden hebben verkregen, worden die in principe alleen gebruikt voor het betreffende onderzoek. Maar ze kunnen (Wet politiegegevens, artikel 8 en verder) ook voor andere onderzoeken worden ingezet. Zomaar een berg verzamelen en bewaren kan dus niet. Maar lijkt me ook niet heel praktisch want wat moet je met een berg video’s waar hooguit een datum en locatie bij zit?

Handiger is lijkt mij ze gewoon per geval vorderen (zoals ook gebeurt bij ons) want dan heb je precies wat je nodig hebt wanneer je het nodig hebt. En ja, vorderen moet, de politie kan beelden niet zomaar vragen omdat er persoonsgegevens op staan. Dat vereist een bevel van de officier van justitie en dat kan alleen worden gegeven in het belang van een strafrechtelijk onderzoek.

Daar staat tegenover dat een burger door hemhaarzelf gemaakte beelden vrijwillig mag afgeven. Als ik meen een misdrijf gefilmd te hebben, dan mag ik daarmee aangifte gaan doen en dan is er geen bevel meer nodig, ik kan dan gewoon die usb-stick met de beelden overhandigen. Dat geldt ook voor bedrijven, dus ook voor Ring. Als die vrijwillig beelden aan de politie willen geven, dan mag dat dus.

Complicatie hier is wel dat het niet hun eigen beelden zijn – de camera’s zijn eigendom van hun klanten, zij bewaren de beelden alleen maar op hun servers. Maar nee, zo werkt dat hier niet. Want daar is ie weer met de diensteneconomie: nee, zo werkt dat hier niet. Data is juridisch niets. Ring levert een dienst, en de artefacten van die dienst (zoals de camerabeelden) bestaan juridisch niet als zelfstandige entiteit. Ring kan daarmee dus doen wat ze wil, tenzij ze contractueel heeft afgesproken van niet. Maar zoals je van Amerikaanse diensten verwacht, zeggen die voorwaarden juist dat men alles mag.

In Nederland zou dat dus in principe ook zo gaan, zij het dat je hier als huiseigenaar er wél wat over te zeggen hebt. Jij hangt die camera op, jij filmt de openbare ruimte (ook al is het slechts bij aanbellen) dus dan zou je best eens de verwerkingsverantwoordelijke voor die beelden kunnen zijn met Ring als verwerker. En een verwerker mag natuurlijk niet zelfstandig de persoonsgegevens aan derden verschaffen. Ook niet als in de algemene voorwaarden staat van wel.

Arnoud

Kamer van Koophandel neemt maatregelen tegen zzp-spam

| AE 11175 | Ondernemingsvrijheid | 8 reacties

De Kamer van Koophandel stopt met het op grote schaal verkopen van kant-en-klare bestanden met adressen, las ik bij de NOS. Dit na aandringen van de Autoriteit Persoonsgegevens, omdat dergelijke handel in persoonsgegevens in strijd is met de AVG. De Kamer van Koophandel biedt al sinds jaar en dag bestanden aan met contactgegevens van ondernemers,… Lees verder

Wanneer mag een auditor onze camerabeelden inzien?

| AE 6365 | Privacy, Security | 4 reacties

Een lezer vroeg me: Van tijd tot tijd komt er bij ons een auditor over de vloer voor de certificering van een van onze klanten (PCI-DSS audit bijvoorbeeld). Soms wil zo’n auditor dan ook de camerabeelden bekijken, om bevestiging te krijgen dat de camerabeveiliging werkt. Mogen wij daarana meewerken? Camerabeelden mogen toch alleen met gerechtelijk… Lees verder

Tweeten of hyperlinken naar persoonsgegevens is verwerking

| AE 5162 | Privacy | 16 reacties

Ik mag het weer zeggen: OMGWTFWBP. Het publiceren van een tweet of het versturen van een e-mail met daarin een hyperlink naar een pagina waar de naam en kenteken van een auto-eigenaar worden vermeld, is verwerking van die persoonsgegevens, zo meldde Webwereld. In een beschikking over een inzageverzoek bepaalt de rechtbank in Den Bosch dat… Lees verder